Недавно генеральный директор Департамента государственных инфосистем (RIA) заявил, что Эстония весьма уязвима перед кибератаками в связи с распространенность и в некоторой степени зависимости от электронных услуг.
По словам генерального директора RIA, если для обычного пользователя компьютера наибольшую угрозу представляют киберпреступники, то для государства – кибершпионаж. В мире достаточно примеров того, как «государственная тайна была захвачена благодаря использованию очень простых методов».
Именно это случилось у наших союзников в Европе и Северной Америке. Судя по всему, российские спецслужбы взломали инфосистему парламента Германии с помощью вредоносного троянского вируса, разослав депутатам парламента зараженные письма с компьютера федерального канцлера Ангелы Меркель. Таким образом удалось получить доступ к данным в компьютерах депутатов, в том числе и к их электронной переписке. Информация о том, сколько и какие именно персональные данные оказались в руках злоумышленников, не является общедоступной по соображениям безопасности. В июне США также обнародовали информацию о том, что, судя по всему, Китай похитил личные данные чуть ли не всех чиновников федерального правительства, бывших его сотрудников и многих подрядчиков (по некоторым оценкам, 4-14 миллионов человек), в том числе даты рождения, адреса и номера социального страхования. С помощью этих данных можно взять кредиты на подставных лиц и прочими способами выманивать у людей деньги. Некоторые данные, к которым был получен доступ, датируются даже 1985 годом.
Более того, очевидно украдены были и детальные анкеты для доступа к секретным документам. На основании имеющейся в этих анкетах информации можно, среди прочего, скомпрометировать близких родственников и знакомых тех людей, которые обладают доступом к государственной тайне, поскольку их данные также были указаны в анкетах. Кроме того, есть мнение, что на основании этих данных можно вычислить сотрудников разведки, работающих под прикрытием. Если эти данные попадут в руки к киберпреступникам, материальный ущерб для жертв будет серьезным. Кроме того, все эти миллионы людей, чьи данные государство не сумело защитить, могут вообще подать в суд на свою страну.
Ситуация настолько серьезна, что представители департамента США, отвечающего за персональный данные, были вызваны в сенат для дачи объяснений (утечка информации коснулась даже персональных данных помощников сенаторов). Кроме того, президент США Барак Обама даже лично высказывался в защиту директора департамента. Американские политики вполне оправданно спрашивают, почему базы данных, столь важные для безопасности страны, не были в достаточной мере защищены, хотя аудит, проведенный в том же самом департаменте в прошлом году, показал, что меры предосторожности были не достаточными (например, отсутствовала многоуровневая система идентификации). Эти и другие, более ранние инциденты, имевшие место в Европе и остальном мире, показывают, что и государственные учреждения, и частные фирмы, как правило, в течение длительного времени даже не подозревают, что в их компьютерных сетях орудует взломщик (в среднем до обнаружения инцидента проходит более 200 дней).
Как известно, создатели интернета не занимались его безопасностью, поскольку изначально общение в киберпространстве проходило в узком кругу людей, которые доверяли друг другу. Стопроцентная кибербезопасность возможна разве что в мире платоновских идей, но никак не в киберпространстве, ведь никогда нельзя полностью доверять технологиям. Каждый спортсмен-любитель знает, что пульсометр не всегда показывает правильные значения, и каждый архитектор информационных систем знает, что теоретически можно взломать все системы, построенные человеком (правда, функционирование нашей системы электронной идентификации личности, основанное на использовании ИД-карт, было безопасным, по крайней мере, до сих пор). В то же время злоумышленники на несколько шагов опережают специалистов по безопасности, поскольку компании, занимающиеся развитием новых коммерческих продуктов, не уделяют должного внимания вопросам их безопасности, ведь это повышает стоимость продукта, увеличивает срок выхода на рынок, и нет соответствующих требований со стороны простого потребителя. Для уменьшения уязвимости новых технологий многие правительства при проведении тендеров на поставку коммерческих продуктов все чаще устанавливают особые требования, из-за чего по крайней мере государственные инфосистемы должны быть более безопасными, чем наши личные мобильные устройства.
Эксперты в области интернет-технологий в один голос говорят, что тотальной кибербезопасности достичь невозможно. Задачей является увеличение устойчивости информационных систем к внешним воздействиям. Учитывая, что злоумышленники так или иначе получают доступ к инфосистемам, хорошая стратегия безопасности должна обеспечить ситуацию, когда особо чувствительные данные содержатся отдельно от всего остального, чтобы получить их было бы непросто.
Почему Германия и США, которые выделяют поистине колоссальные суммы на развитие сферы кибербезопасности, не смогли защитить персональный данные и информацию в компьютерах политиков – самую очевидную мишень для киберпреступников и враждебных государств? Можно ли считать, что эти государства вложили средства не в ту область, развивая военные возможности в киберсфере и защищая от саботажа жизненно важные услуги, но не обращая внимания на безопасность инфосистем и баз данных менее значимых государственных учреждений? Регистры являются частью критической инфраструктуры, для которой должны быть установлены более жесткие требования к безопасности, чем обычно. Критики уже выяснили, насколько слабо защищены инфосистемы федерального правительства США: если не учитывать компьютерные сети Пентагона, минимальные стандарты безопасности применяются только в 41% учреждений федерального правительства США.
Эстония также уязвима перед киберугрозами, поскольку, как известно, наш электронный стиль жизни в большинстве своем не предусматривает дублирования в бумажной форме, и если государственная база данных будет взломана физическим или электронным образом, если данные будут украдены или уничтожены, то восстановить эту информацию очевидно будет непросто. К счастью, стратегия кибербезопасности Эстонии предусматривает меры по уменьшению уязвимости (другой вопрос, насколько государственные учреждения и местные самоуправления реально будут применять указанные меры), и стоит надеяться, что мы не являемся настолько привлекательной целью для киберпреступников и враждебных государств, как ведущие мировые страны.